ELK详解（十三）——Logstash收集Nginx日志实战

今天继续给大家介绍Linux运维相关知识，本文主要内容是Logstash收集Nginx日志实战。

一、Nginx配置

首先，我们安装Nginx，Nginx的安装过程在LNMP详解（二）——Nginx源码安装与启动一文中已经讲解过了，因此在今天就不过多赘述了。
当然，我们也可以通过YUM的方式来简便的安装Ngnix，先安装EPEL的扩展源，然后再安装Nginx，执行命令如下：

yum install -y epel-release
yum install -y nginx

Nginx安装完成后，我们要修改Nginx的日志，将其修改为JSON格式。打开Nginx的配置文件，由于我的Nginx是YUM安装的，因此Nginx的配置文件为/etc/nginx/nginx.conf，打开该配置文件，找到Nginx配置文件中关于日志格式的定义参数log_fromat和access_log，我们新创建一个名为json的日志格式，内容如下：

log_format json  '{"@timestamp":"$time_iso8601",''"host":"$server_addr",''"request_method": "$request_method", ''"clientip":"$remote_addr",''"size":$body_bytes_sent,''"responsetime":$request_time,''"upstreamtime":"$upstream_response_time",''"upstreamhost":"$upstream_addr",''"http_host":"$host",''"url":"$uri",''"xff":"$http_x_forwarded_for",''"referer":"$http_referer",''"agent":"$http_user_agent",''"status":"$status"}';

然后，将access_log的格式修改为使用JSON格式，修改完成后的Nginx配置文件如下所示：

这样，我们打开Nginx服务，在客户端上尝试访问该服务，结果如下：

可以看出，Nginx服务的日志为JSON格式。

二、Logstash配置

接下来，我们来配置Logstash的配置文件，内容如下：

input{file{path=>"/var/log/nginx/access.log"type=>"nginx"start_position=>"beginning"stat_interval=>"5"}
}output{elasticsearch{hosts=>["192.168.136.101:9200"]index=>"nginx-log-%{+YYYY.MM.dd}"}
}

上述配置文件在之前的文章中都介绍过，内容就是从Nginx的日志中读取内容，然后输出到Elasticsearch中。注意，由于Logstash默认是以logstash的用户运行，因此，我们必须保证logstash在运行过程中对该日志有读的权限。
配置完成后，执行命令：

logstash -f /etc/elasticsearch/conf.d/nginx-log.conf

三、效果检验

最后，我们来检验一下我们的配置结果。
首先，打开Elasticsearch，查看日志情况，结果（在实际运行中，我的一个Elasticsearch主机崩溃，因此集群健康值为黄色）如下：

之后，我们来到Kibana上，查看日志，结果如下：

可以看到，Logstash正确的收集到了Nginx的日志信息。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200